我试图制作一个可以使用多个单词的搜索栏,但是我担心SQL注入。

我在npm mssql包中使用node express。

这是获取条件,生成SQL并运行它的代码:

router
.get('/search/:criteria', function (req, res) {
    var criteria = req.params.criteria;
    var words = criteria.split(" ");

    var x = ""
    words.map(word => x += `name like '%${word}%' and `);
    x = x.substring(0, x.length - 5); // Remove trailing 'and'

    var query = `SELECT * FROM table WHERE ${x}`

    new sql.ConnectionPool(db).connect().then(pool => {
        return pool.request().query(query)
    }).then(result => {

    })
});


搜索something to search将导致以下查询:

SELECT * FROM table
WHERE
    name like '%something%'
    and name like '%to%'
    and name like '%search%'


我自己尝试了一些SQL注入,但是似乎都不起作用。



注意:我知道我们应该为此始终使用输入。一个单词可以很好地工作,但是我不知道如何将输入用于多个单词。例如:

new sql.ConnectionPool(db).connect().then(pool => {
        return pool.request()
        .input('input', '%'+criteria+'%')
        .query(query)
    })

最佳答案

答案是:这不安全。您的代码也完全没有做任何使其安全的事情。不要通过将用户提供的数据连接/插入到语句中来构建SQL。

此外,您也不对LIKE本身进行任何转义,因此同样不干净。

如果需要动态SQL,请使用预期的占位符数量构建准备好的SQL语句,然后将用户提供的值绑定到这些占位符。

router.get('/search/:criteria', (req, res) => {
    const ps = new sql.PreparedStatement();
    const sqlConditions = [];
    const escapedValues = {};

    // set up escaped values, safe SQL bits, PS parameters
    req.params.criteria.split(" ").forEach((v, i) => {
        const paramName = 'val' + i;
        escapedValues[paramName] = v.replace(/[\\%_]/g, '\\$&');
        sqlConditions.push(`name LIKE '%' + @${paramName} + '%' ESCAPE '\'`);
        ps.input(paramName, sql.VarChar);
    });

    // build safe SQL string, prepare statement
    const sql = 'SELECT * FROM table WHERE ' + sqlConditions.join(' AND ');
    ps.prepare(sql);

    // connect, execute, return
    ps.execute(escapedValues).then(result => {
        res(result)
    });
});


(免责声明:代码未经测试,因为我现在没有可用的SQL Server,但是您明白了。)

09-10 02:45
查看更多